COMMISSION 


Aistriú Sonraí Pearsanta chuig mam 
Tríú Tíortha nó le E V Data Protsction 


hEagraíochtaí Idirnáisiúnta 


Tá sreabhadh sonraí pearsanta chuig agus ón Aontas Eorpach (an "AE") riachtanach le 
haghaidh trádála idirnáisiúnta agus comhoibriú idirnáisiúnta. Mar sin féin, níor cheart 
go ndéanfadh aistriú sonraí pearsanta den sórt sin ón AE do rialaitheoirí agus do 
phróiseálaithe atá lonnaithe lasmuigh den AE i dtríú tíortha bonn cosanta na ndaoine 
aonair lena mbaineann, agus gur tír ar bith atá i dtríú tír lasmuigh den Limistéar 
Eorpach Eacnamaíoch (an "EEA"). Dá bhrí sin, ba cheart aistrithe chuig tríú tíortha nó le 
heagraíochtaí idirnáisiúnta a chomhlíonadh go hiomlán le Caibidil V den Rialachán 
Ginearálta um Chosaint Sonraí, an "GDPR". 


Tugann an nóta seo treoir achoimre ar na forálacha i gCaibidil V den GDPR, chomh 
maith le naisc le faisnéis agus treoir níos mionsonraithe. 


Airteagal 45 - Aistrithe ar bhonn Cinneadh Leordhóthanachta 


Is é an chéad rud a mheas nuair a aistríonn sonraí pearsanta chuig tríú tír má tá 
"cinneadh leordhóthanach" ann. Ciallaíonn cinneadh leordhóthanach go bhfuil 
cinneadh déanta ag an gCoimisiún Eorpach go gcinntíonn tríú tír nó eagraíocht 
idirnáisiúnta leibhéal leordhóthanach cosanta sonraí. 


Agus measúnú á dhéanamh ar leordhóthanacht an leibhéal cosanta, cuireann an 
Coimisiún Eorpach san áireamh gnéithe cosúil le dlíthe, meas ar chearta agus saoirsí an 
duine, slándáil náisiúnta, rialacha um chosaint sonraí, go bhfuil údarás cosanta sonraí 
ann agus gealltanais cheangailteach a rinne na tír maidir le cosaint sonraí. 


Is éard atá i gceist le glacadh le cinneadh leordhóthanach ná: 


moladh ón gCoimisiún Eorpach 

tuairim ón mBord Eorpach um Chosaint Sonraí (“EDPB”) 
formheas ó ionadaithe tíortha an AE 

glacadh leis an gcinneadh ag na Coimisinéirí Eorpacha 


SSS S 


Is é éifeacht an chinnidh sin ná gur féidir le sonraí pearsanta sreabhadh ón LEE chuig an 
tríú tír sin gan aon chosaint breise a bheith riachtanach. I bhfocail eile, tá an t-aistriú 
mar an gcéanna dá ndéanfaí é laistigh den AE. 


Is féidir liosta de thíortha a bhfuil cinneadh leordhóthanach a fháil anseo. 
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Airteagal 46 - Aistrithe Faoi Réir Coimircí Iomchuí 


Mura bhfuil cinneadh leordhóthanachta ann, is féidir leis an GDPR aistriú a cheadú má 
thug an rialaitheoir nó an próiseálaí "cosaintí iomchuí". D'fhéadfadh na coimircí seo a 
bheith san áireamh: 


v Clásail chaighdeánacha maidir le cosanta sonraí: | gcás formhór na n- 
eagraíochtaí, is iad na clásail seo an bunús dlí malartach is ábhartha chun 
cinneadh leordhóthanach. Is clásail shamhail cosanta sonraí iad atá ceadaithe ag 
an gCoimisiún Eorpach agus tá siad in ann sreabhadh sonraí pearsanta a 
chumasú nuair atá siad leabaithe i gconradh. Tá oibleagáidí conartha sna clásail 
maidir leis an Onnmhaireoir Sonraí agus an Allmhaireoir Sonraí, chomh maith le 
cearta do dhaoine aonair a n-aistrítear a gcuid sonraí pearsanta. Is féidir le 
daoine aonair na cearta sin a fhorfheidhmiú go díreach in aghaidh an 
Allmhaireora Sonraí agus an Onnmhaireoir Sonraí. Tugtar 'clásail 
chaighdeánacha conarthacha' orthu seo. Tá dhá shraith de chlásail 
chaighdeánacha conarthacha le haghaidh aistrithe srianta idir rialaitheoir agus 
rialaitheoir, agus sraith amháin idir rialaitheoir agus próiseálaí (nasctha anseo). 
Thug an Coimisiún Eorpach comhairle don EDPB go bhfuil sé beartaithe na 
clásail chaighdeánacha conarthacha atá ann faoi láthair a uasdátú don GDPR. Go 
dtí sin, is féidir le rialaitheoirí sonraí atá lonnaithe san AE dul i ngleic le conarthaí 
a chuimsíonn na clásail chaighdeánacha conarthacha atá bunaithe ar Threoir 
95/46/CE an AE, a d'eisigh an GDPR roimh ré. 

v Rialacha corparáideacha ceangailteacha “BCRanna”: Is ionann BCRanna agus 
cód iompair inmheánach atá ceangailteach ó thaobh dlí atá ag feidhmiú laistigh 
de ghrúpa ilnáisiúnta, a bhaineann le haistriú sonraí pearsanta ó eintiteas LEE an 
ghrúpa le heintitis neamh-LEE an ghrúpa. D'fhéadfaí sa ghrúpa seo go mbeadh 
grúpa corparáideach nó grúpa gnóthais atá ag gabháil do chomhghníomhaíocht 
eacnamaíoch, mar shampla saincheadúnais nó comhfhiontair. Is rialacha 
cosanta sonraí atá ceangailte go dlíthiúil iad BCRanna le cearta ábhar sonraí atá 
in-fhorfheidhmithe, a bhfuil ceadaithe ag an Údarás um Chosaint Sonraí inniúil. 
Tá dhá chineál BCR ann ar féidir iad a fhormheas - BCR do Rialaitheoirí a 
úsáideann an grúpaintiteas sonraí a aistriú go bhfuil siad freagrach as, mar 
shampla, sonraí fostaithe nó soláthraí; agus BCR do Phróiseálaithe a úsáideann 
eintitis atá ag feidhmiú mar phróiseálaithe do rialaitheoirí eile agus de ghnáth 
cuirtear isteach mar atcríbhinn leis an gComhaontú Leibhéal Seirbhíse nó 
conradh Próiseálaí. Leagtar amach forálacha breise maidir le húsáid BCRanna 
mar choimirce iomchuí d'aistrithe sonraí pearsanta in Airteagal 47 den GDPR. 

v Cóid Iompraíochta Ceadaithe: Tugadh isteach úsáid uirlis Chód Iompair mar 
uirlis aistrithe, faoi imthosca sonracha ag an GDPR in Airteagal 40 (3). Tá na Cóid 
deonach agus leagann siad síos rialacha sonracha um chosaint sonraí do 
chatagóirí rialaitheoirí agus próiseálaithe. Féadfaidh siad a bheith ina uirlis 
chuntasachta úsáideach agus éifeachtach, ag tabhairt cur síos mionsonraithe ar 
an iompar is cuí, dleathach agus eiticiúil laistigh de earnáil. Ó thaobh cosanta 
sonraí de, is féidir leis na cóid feidhmiú mar leabhar rialacha do rialaitheoirí agus 
do phróiseálaithe a dhéanann gníomhaíochtaí próiseála sonraí a chomhlíonann 
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RGCS a thugann brí oibríochtúil do na prionsabail um chosaint sonraí atá leagtha 
amach sa dlí Eorpach agus sa dlí náisiúnta. D'fhéadfaí go n-úsáidfear Cóid 
Iompraíochta a bhaineann le gníomhaíochtaí próiseála sonraí pearsanta ag 
rialaitheoirí agus próiseálaithe i níos mó ná Ballstát amháin den AE, agus a bhfuil 
gníomh cur chun feidhme ag Coimisiún an AE, mar aon le gealltanais 
ceangailteacha agus infheidhmithe an rialaitheora nó an phróiseálaí sa tríú tír, 
mar uirlis aistrithe sa todhchaí. Tá sé beartaithe ag an EDPB treoir shonrach ar 
leith a eisiúint, maidir le Cóid Iompraíochta a úsáid mar uirlis aistrithe, ar dháta 
níos déanaí. 

v  Meicníochtaí deimhniúcháin formheasta: Sainmhíníonn an ISO deimhniú mar 
"comhlacht neamhspleách de dhearbhú scríofa (deimhniú) go gcomhlíonann an 
táirge, an tseirbhís nó an córas atá i gceist ceanglais shonracha". Dá bhrí sin, mar a 
tugadh isteach sa GDPH in Airteagal 42 (2), féadfar meicníochtaí deimhniúcháin a 
fhorbairt chun a léiriú go bhfuil cosaintí cuí ann a sholáthraíonn rialaitheoirí agus 
próiseálaithe i dtríú tíortha. Déanfadh na rialaitheoirí agus na próiseálaithe seo 
gealltanais cheangailteach agus infheidhmithe chun na coimircí a chur i 
bhfeidhm, lena n-áirítear forálacha do chearta an ábhair sonraí. Tá sé beartaithe 
ag an EDPB chomh maith treoir shonrach ar leith a eisiúint maidir le 
meicníochtaí deimhniúcháin mar uirlis aistrithe. 

v Ionstraim ina cheangal de réir dlí agus infheidhmithe idir údaráis nó 
comhlachtaí poiblí: Is féidir le heagraíocht aistriú srianta a dhéanamh más 
údarás poiblí nó comhlacht poiblí é agus go bhfuil sé ag aistriú chuig údarás 
poiblí nó comhlacht poiblí, agus leis an dá údarás poiblí tar éis conradh nó 
ionstraim eile a shíniú atá ceangailteach ó thaobh dlí agus infheidhmithe 
(Airteagal 46 (2)(a) GDPR). Caithfidh an conradh nó an ionstraim seo cearta 
infheidhmithe agus leigheasanna éifeachtacha a chur ar fáil do dhaoine aonair a 
n-aistrítear a gcuid sonraí pearsanta. Ní cosaint iomchuí é seo más comhlacht 
príobháideach nó duine aonair an eagraíocht aistrithe nó an faighteoir. Más rud 
é nach bhfuil sé de chumhacht ag údarás nó comhlacht poiblí socruithe dlí atá 
ina cheangal de réir dlí a dhéanamh, féadfaidh sé breithniú a dhéanamh ar 
shocrú riaracháin lena n-áirítear cearta na hindibhide atá infheidhmithe agus 
éifeachtacha ina ionad sin (Airteagal 46 (3)(b) GDPR). Tá an EDPB ag obair faoi 
láthair ar threoir nuashonraithe maidir leis na huirlisí aistrithe seo. 


Airteagal 49 - Maoluithe le haghaidh Cásanna Sonracha 


Is iad maoluithe ná díolúintí ón bprionsabal ginearálta faoi Airteagal 49 nach féidir 
sonraí pearsanta a aistriú chuig tríú tír ach amháin má chuirtear leibhéal 
leordhóthanach cosanta ar fáil sa tríú tír sin. Ba chóir go n-iarrfadh Onnmhaireoir 
Sonraí an chéad uair ar aistrithe a dhéanamh le ceann de na meicníochtaí a ráthófar 
cosaintí leordhóthanacha a liostaítear thuas, agus amháin sa chás nach bhfuil siad ann 
go n-úsáidfeadh sé na maoluithe dá bhforáiltear in Airteagal 49 (1). Ceadaíonn na 
maoluithe nó na heisceachtaí seo aistrithe i gcásanna sonracha, mar shampla, nuair a 
úsáidtear toiliú mar bhunús, nó conradh a dhéanamh nó a chríochnú, chun éilimh 
dhlíthiúla a fheidhmiú, chun leasanna ríthábhachtacha an ábhair sonraí a chosaint nuair 
nach féidir leo toiliú a thabhairt nó ar chúiseanna tábhachtacha ar mhaithe le leas an 
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phobail. Ba cheart dul i gcomhairle le cáipéis treorach an EDPB maidir leis na maoluithe 
seo i gcónaí lena chinntiú go bhféadfaí brath orthu le haghaidh na cásanna ar leith lena 
bhfuil na heagraíochtaí ag plé. 


